SlideShare una empresa de Scribd logo

Continuidad de Negocio (UNE 71599 / BS 25999)

S
S2 Grupo · Security Art Work

Un repaso rápido a la Continuidad de Negocio según la BS 25999 y la nueva UNE 71599. Pueden descargar el PDF desde http://www.s2grupo.es/jornadas_presentaciones.shtml

Tecnología
1 de 44
Continuidad de Negocio UNE 71599 / BS 25999 Manuel Benet Consultor de Seguridad. S2 Grupo 12 de Mayo, 2011
Prólogo Prólogo Existen varios caminos a la Continuidad de Negocio: a. El directo. b. El indirecto. c. El doloroso. 2
Prólogo a. El directo o “momento revelación” “Hoy podría morir calcinado en este salón de actos. ¿Sobreviviría mi organización a tan trágica pérdida?“ I. No. Tienen (tenemos) un problema. II. Sí. ¿A qué coste? 3
Prólogo b. El indirecto o “momento certificación ISO 27001” 4
Prólogo c. El doloroso Suele llegar demasiado tarde y quizá no haya negocio que continuar. Puede conllevar no sólo pérdidas económicas sino también humanas. 5
Prólogo Los tres caminos suelen compartir las mismas fases, aunque su duración es variable. 6
Acto I “Eso no me puede pasar a mí” 7
“Eso no me puede pasar a mí” 1. Polonia El 10 de abril de 2010 el avión Tupolev 154 en el que viajaba el presidente de Polonia, Lech Kaczynski, se estrelló en la ciudad rusa de Smolensk. Además del presidente y su esposa fallecieron el gobernador del Banco Central, el jefe de Estado Mayor, el viceministro de Exteriores y decenas de diputados. 8
“Eso no me puede pasar a mí” 2. Edificio Windsor 9
“Eso no me puede pasar a mí” 3. Fukushima 10
Acto II “Quizá sí, pero es poco probable” 11
“Quizá sí, pero es poco probable” Ejemplos más “mundanos” 1. Manolo, su excavadora y las líneas de datos. 2. Los grupos electrógenos: a veces funcionan, a veces no. 3. Esa afición por colocar tuberías en los CPDs. 4. La diversión de abrir adjuntos ejecutables. 5. ¿La clave del fichero de claves? Sólo la sabía Pepe. 6. ¿Copias? ¿Qué copias? 7. Los AACC se van de vacaciones en agosto. 12
Acto III “De acuerdo, hagámoslo” 13
“De acuerdo, hagámoslo” 14
“De acuerdo, hagámoslo” El camino fácil (que no el correcto) Una vez planteada la necesidad/obligatoriedad del proyecto, es habitual optar por un enfoque “simplificado” que... 15
“De acuerdo, hagámoslo” … se limita a las copias de seguridad y poco más. … ignora la problemática asociada a las personas. … ignora las necesidades del negocio. … ignora las capacidades reales de TI. … no es mantenido regularmente. … no es probado en condiciones. … no incluye los planes operativos correspondientes. 16
“De acuerdo, hagámoslo” Ese planteamiento, menos exhaustivo y costoso, puede ser parcialmente válido, pero debemos ser conscientes de sus limitaciones y de que no es un Sistema de Gestión de Continuidad de Negocio. Lo que fácil viene, fácil se va 17
“De acuerdo, hagámoslo” El camino correcto (que no el fácil) 1. Implica un proceso de a) desarrollo, b) implantación, c) mantenimiento y d) posible certificación. 2. Requiere pruebas periódicas. 3. Necesita tiempo, recursos económicos y humanos. 4. Exige implicación de la Dirección. 5. Es un Sistema de Gestión. 6. Sigue un estándar probado: UNE 71599 / BS 25999. 18
La Continuidad de Negocio según UNE 71599 / BS 25999 19
UNE 71599 / BS 25999 La Continuidad de Negocio es un sistema de Gestión que identifica las amenazas que pueden poner en riesgo la continuidad de la organización y proporciona los medios para hacerles frente y proteger el negocio. 20
UNE 71599 / BS 25999 Seis pasos básicos 1. Colocar los cimientos. 2. Entender la Organización. 3. Determinar la Estrategia de Continuidad de Negocio. 4. Desarrollar e implantar la Continuidad de Negocio. 5. Probar, mantener, revisar y auditar. 6. Asentar la Continuidad de Negocio en la cultura de la organización. 21
UNE 71599 / BS 25999 Seis pasos básicos 22
1. Asegurar los cimientos 1. Colocar los cimientos • Definición del alcance • Asignar recursos. • Implicar a la Dirección y a la organización. • Asignar las responsabilidades. 23
1. Asegurar los cimientos Errores típicos • El alcance no está claramente definido. • Hay proyecto, pero no hay recursos. • No hay implicación (“es un proyecto de TI”). • ¿Responsabilidades? ¿Qué responsabilidades? (también conocido como “TI se lo guisa, TI se lo come.”) 24
2. Entender la organización 2. Entender la organización • El Análisis de Impacto sobre el Negocio. • El Análisis de Riesgos. 25
2. Entender la organización El Análisis de Impacto sobre el Negocio (AIN o BIA): I. Procesos del negocio. • Activos y personal implicado. • Dependencias (proveedores, servicios internos, etc.). • Periodos críticos. • Impactos. • Tiempo máximo de interrupción tolerable. • Niveles mínimos de calidad de servicio aceptables tras la recuperación del proceso. • Tiempo máximo para volver a la operación normalizada. 26
2. Entender la organización El Análisis de Riesgos: I. Amenazas. II. Impactos. III. Probabilidades. IV. Riesgos inherentes y residuales. V. Política de gestión de riesgos (aceptar / mitigar / transferir / eliminar). El resultado proporciona los riesgos no aceptables para las necesidades del negocio y los procesos más vulnerables a los riesgos detectados. 27
2. Entender la organización Errores comunes • Tener una visión demasiado “aérea”. • Obtener tiempos no “razonables”. • Omitir dependencias internas. • Omitir personal crítico. • Basarse únicamente en la visión de TI. • No consensuar/contrastar los resultados obtenidos con el resto de la organización. 28
3. La estrategia 3. La estrategia Para cada potencial incidente, deben desarrollarse alternativas a adoptar en cada uno de los aspectos controlables. Recursos necesarios para cada alternativa propuesta. 29
3. La estrategia Posibles alternativas y factores • Personal. Necesidades de formación, externalización, gestión del conocimiento… • Ubicaciones físicas. Alquiler, compra, teletrabajo… • Tecnología. Sedes alternativas, replicación, acceso remoto, virtualización, copias de seguridad,… • Información. Ubicación digital, papel, datos de carácter personal, registros críticos,… • Suministros. Proveedores críticos y tiempos de respuesta, contratos de servicio, almacenes y proveedores alternativos… • Terceras partes. Aspectos legales (p.ej. LOPD, presentación de tributos), comunicación con clientes, partners,… 30
3. La estrategia Errores comunes • Las estrategias no están en línea con el risk appettite (o nivel de riesgo aceptable por la organización). • No tener en cuenta las actividades críticas. • No tener en cuenta los periodos críticos. • Proponer estrategias “a futuro” o irreales por coste o ejecución. No ser realista. • No tener el apoyo y visto bueno de Dirección. 31
4. Desarrollo e implantación 4. Desarrollo e Implantación Tomando como base la información del BIA, el AR y las estrategias seleccionadas, determina: • El plan de respuesta a incidentes (o Plan de Crisis). • Planes de gestión de incidentes. 32
4. Desarrollo e implantación El plan de respuesta a incidentes: • Gestiona el momento inicial de la incidencia. • Garantiza una respuesta rápida al incidente. • Simplifica la toma de decisiones. • Identifica al personal responsable de la gestión del incidente. • Especifica las condiciones de disparo de los planes específicos. Si algo puede salir mal, saldrá mal, y lo hará en el peor momento posible. 33
4. Desarrollo e implantación Los planes de gestión de incidentes: • Documentos que permiten la recuperación de las diferentes actividades afectadas por un incidente. • Identifican al personal responsable del plan. • Contienen los recursos necesarios afectados por el plan (personal, locales, tecnología, información, suministros y terceras partes). • Contienen los procedimientos de toma de decisiones (quién, cómo, y a quién informar). • Identifican procedimientos operativos concretos. 34
4. Desarrollo e implantación Errores comunes • La documentación está obsoleta. • La documentación está ilocalizable. • ¿Documentación? ¿Qué documentación? • Las responsabilidades no están definidas. • No se contemplan dependencias. • El escalado de incidencias no está claramente definido. • No existen planes operativos. 35
5. Pruebas 5. Pruebas • Verificar que el sistema “no olvida nada”. • Comprobar que TI puede soportar al negocio. • Anticipar problemas concretos en situaciones controladas. • Mejorar la capacidad de la organización para enfrentarse a situaciones de crisis. • Propagar la cultura de la continuidad de negocio entre los participantes. • Generar confianza entre los participantes de las pruebas. 36
5. Pruebas Errores comunes • No se realizan pruebas. • Las pruebas olvidan al usuario final u omiten personal relevante. • Las pruebas no son comunicadas a la organización. • Las pruebas no son realistas. • El resultado de las pruebas se “maquilla”. • El resultado de las pruebas no tiene continuidad (¿planes de acción?). 37
6. Cultura de la organización 6. Cultura de la organización Como todo Sistema de Gestión, debe desarrollarse un programa de concienciación que: • Mejore la eficacia del sistema. • Prepare al personal implicado. • Difunda entre clientes y proveedores las ventajas del sistema implantado. • Mejore la receptividad de la organización hacia las pruebas. 38
6. Cultura de la organización Algunas medidas • Utilización de los medios internos: Intranet, e- mail, circulares internas. • Sesiones de formación entre el personal. • Encuestas y grupos de trabajo. • Incluir la Continuidad de Negocio en las reuniones de los departamentos. 39
6. Cultura de la organización Errores comunes • No desarrollar un programa de concienciación. • Incluir en el programa únicamente a personal técnico. • Tener un programa demasiado disperso en el tiempo. 40
Conclusiones Un Sistema de Gestión de la Continuidad de Negocio es como una rueda de repuesto: Se ve poco, no se usa, pero hay que revisarla de vez en cuando. Ojalá no tengamos que utilizarla nunca, pero… …mejor que esté ahí, por si acaso. 41
Conclusiones Principales problemas • No tener el apoyo de Dirección. • No dedicar recursos, tiempo y personal asignado. • Olvidar las necesidades del negocio. • No desarrollar o mantener la documentación. • Obviar las pruebas y la comunicación a usuarios. 42
Conclusiones Primero llegó ISO 9001. Luego vino ISO 27001. La Continuidad de Negocio es el próximo hito. 43
44

Recomendados

Implantacion de un SGCN segun UNE 71599
Implantacion de un SGCN segun UNE 71599Implantacion de un SGCN segun UNE 71599
Implantacion de un SGCN segun UNE 71599Jorge García Carnicero
 
ISO 20000 + ITIL
ISO 20000 + ITIL ISO 20000 + ITIL
ISO 20000 + ITIL Carlos R. Adames B.
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de NegocioDavid Solis
 
Iso 20000
Iso 20000Iso 20000
Iso 20000Rubén Darío Layme Velásquez
 
ISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowPECB
 
Gestión de Continuidad del Negocio
Gestión de Continuidad del NegocioGestión de Continuidad del Negocio
Gestión de Continuidad del NegocioFernando De los Ríos
 
Presentacion ISO 20000
Presentacion ISO 20000Presentacion ISO 20000
Presentacion ISO 20000itService ®
 
ISO/IEC 20000
ISO/IEC 20000ISO/IEC 20000
ISO/IEC 20000ascêndia reingeniería + consultoría
 

Recomendados

Implantacion de un SGCN segun UNE 71599
Implantacion de un SGCN segun UNE 71599Implantacion de un SGCN segun UNE 71599
Implantacion de un SGCN segun UNE 71599Jorge García Carnicero
 
ISO 20000 + ITIL
ISO 20000 + ITIL ISO 20000 + ITIL
ISO 20000 + ITIL Carlos R. Adames B.
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de NegocioDavid Solis
 
Iso 20000
Iso 20000Iso 20000
Iso 20000Rubén Darío Layme Velásquez
 
ISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowISO/IEC 27701 vs GDPR: What you need to know
ISO/IEC 27701 vs GDPR: What you need to knowPECB
 
Gestión de Continuidad del Negocio
Gestión de Continuidad del NegocioGestión de Continuidad del Negocio
Gestión de Continuidad del NegocioFernando De los Ríos
 
Presentacion ISO 20000
Presentacion ISO 20000Presentacion ISO 20000
Presentacion ISO 20000itService ®
 
ISO/IEC 20000
ISO/IEC 20000ISO/IEC 20000
ISO/IEC 20000ascêndia reingeniería + consultoría
 
gestion de operaciones TI.pptx
gestion de operaciones TI.pptxgestion de operaciones TI.pptx
gestion de operaciones TI.pptxBRAYANALEJANDROREYES
 
Gestión de problemas
Gestión de problemasGestión de problemas
Gestión de problemasLuis Farfán Aguilar
 
Gobierno de TI
Gobierno de TIGobierno de TI
Gobierno de TIDoris Suquilanda
 
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information StandardQuick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information StandardPECB
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Itil operacion de servicios
Itil operacion de serviciosItil operacion de servicios
Itil operacion de serviciosJorge Ventura
 
Iso 20000
Iso 20000Iso 20000
Iso 20000Marlon A. Molina
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureUppala Anand
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoModernizacion y Gobierno Digital - Gobierno de Chile
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013Magda CHELLY, Ph.D, S-CISO, CISSP®
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Juan Fernando Jaramillo
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part Ikhushboo
 
ITIL
ITILITIL
ITILsystemprisoners
 
How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?PECB
 
Hoja ruta arquitectura empresarial v2014 05-08
Hoja ruta arquitectura empresarial v2014 05-08Hoja ruta arquitectura empresarial v2014 05-08
Hoja ruta arquitectura empresarial v2014 05-08Mario Javier Monsalve Hazbón
 
Iso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsIso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsUppala Anand
 
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementation
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementationPrivacy Trends: Key practical steps on ISO/IEC 27701:2019 implementation
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementationPECB
 
CISA Training - Chapter 5 - 2016
CISA Training - Chapter 5 - 2016CISA Training - Chapter 5 - 2016
CISA Training - Chapter 5 - 2016Hafiz Sheikh Adnan Ahmed
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativoJuan Carlos Gonzalez
 
Capacitacion crm
Capacitacion crmCapacitacion crm
Capacitacion crmpredeitor
 
Continuidad de negocio usando Software libre
Continuidad de negocio usando Software libreContinuidad de negocio usando Software libre
Continuidad de negocio usando Software libreEOI Escuela de Organización Industrial
 
17 Continuidad De Negocio Neurowork Why Floss
17 Continuidad De Negocio Neurowork Why Floss17 Continuidad De Negocio Neurowork Why Floss
17 Continuidad De Negocio Neurowork Why FlossNeurowork
 

Más contenido relacionado

La actualidad más candente

Quick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information StandardQuick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information StandardPECB
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion jralbornoz
 
Itil operacion de servicios
Itil operacion de serviciosItil operacion de servicios
Itil operacion de serviciosJorge Ventura
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureUppala Anand
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part Ikhushboo
 
How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?PECB
 
Iso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsIso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsUppala Anand
 
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementation
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementationPrivacy Trends: Key practical steps on ISO/IEC 27701:2019 implementation
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementationPECB
 
Capacitacion crm
Capacitacion crmCapacitacion crm
Capacitacion crmpredeitor
 

La actualidad más candente (20)

gestion de operaciones TI.pptx
gestion de operaciones TI.pptxgestion de operaciones TI.pptx
gestion de operaciones TI.pptx
 
Gestión de problemas
Gestión de problemasGestión de problemas
Gestión de problemas
 
Gobierno de TI
Gobierno de TIGobierno de TI
Gobierno de TI
 
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information StandardQuick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
Quick Guide to ISO/IEC 27701 - The Newest Privacy Information Standard
 
ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion ISO 27001 Guia de implantacion
ISO 27001 Guia de implantacion
 
Itil operacion de servicios
Itil operacion de serviciosItil operacion de servicios
Itil operacion de servicios
 
Iso 20000
Iso 20000Iso 20000
Iso 20000
 
ISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedureISO 27001:2013 Implementation procedure
ISO 27001:2013 Implementation procedure
 
Gestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativoGestión seguridad de la información y marco normativo
Gestión seguridad de la información y marco normativo
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013Guía de implementación iso 27001:2013
Guía de implementación iso 27001:2013
 
ISMS Part I
ISMS Part IISMS Part I
ISMS Part I
 
ITIL
ITILITIL
ITIL
 
How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?How to determine a proper scope selection based on ISO 27001?
How to determine a proper scope selection based on ISO 27001?
 
Hoja ruta arquitectura empresarial v2014 05-08
Hoja ruta arquitectura empresarial v2014 05-08Hoja ruta arquitectura empresarial v2014 05-08
Hoja ruta arquitectura empresarial v2014 05-08
 
Iso 27001 2013 Standard Requirements
Iso 27001 2013 Standard RequirementsIso 27001 2013 Standard Requirements
Iso 27001 2013 Standard Requirements
 
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementation
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementationPrivacy Trends: Key practical steps on ISO/IEC 27701:2019 implementation
Privacy Trends: Key practical steps on ISO/IEC 27701:2019 implementation
 
CISA Training - Chapter 5 - 2016
CISA Training - Chapter 5 - 2016CISA Training - Chapter 5 - 2016
CISA Training - Chapter 5 - 2016
 
Trabajo cuadro comparativo
Trabajo cuadro comparativoTrabajo cuadro comparativo
Trabajo cuadro comparativo
 
Capacitacion crm
Capacitacion crmCapacitacion crm
Capacitacion crm
 

Similar a Continuidad de Negocio (UNE 71599 / BS 25999)

17 Continuidad De Negocio Neurowork Why Floss
17 Continuidad De Negocio Neurowork Why Floss17 Continuidad De Negocio Neurowork Why Floss
17 Continuidad De Negocio Neurowork Why FlossNeurowork
 
Relaciones públicas y manejo de crisis
Relaciones públicas y manejo de crisisRelaciones públicas y manejo de crisis
Relaciones públicas y manejo de crisisLourdes López Ayala
 
Entre Creer Que Se Sabe Y Saber De Verdad
Entre Creer Que Se Sabe Y Saber De VerdadEntre Creer Que Se Sabe Y Saber De Verdad
Entre Creer Que Se Sabe Y Saber De VerdadAdmin UCI
 
Investigacion efectiva de incidente
Investigacion efectiva de incidente Investigacion efectiva de incidente
Investigacion efectiva de incidente ENARSAHI
 
Plan de continuidad de negocio
Plan de continuidad de negocioPlan de continuidad de negocio
Plan de continuidad de negocioAndres Ldño
 
16-Unidad 4: Manejo de archivos y seguimiento del proyecto
16-Unidad 4: Manejo de archivos y seguimiento del proyecto16-Unidad 4: Manejo de archivos y seguimiento del proyecto
16-Unidad 4: Manejo de archivos y seguimiento del proyectoLuis Fernando Aguas Bucheli
 
Ernesto planescontingencia
Ernesto planescontingenciaErnesto planescontingencia
Ernesto planescontingenciafrancisnieto
 
Metodologias de investigacion Ingenieria de software
Metodologias de investigacion Ingenieria de software Metodologias de investigacion Ingenieria de software
Metodologias de investigacion Ingenieria de software kisx1212
 
Planes contingencia
Planes contingenciaPlanes contingencia
Planes contingenciaPatricia
 

Similar a Continuidad de Negocio (UNE 71599 / BS 25999) (20)

Continuidad de negocio usando Software libre
Continuidad de negocio usando Software libreContinuidad de negocio usando Software libre
Continuidad de negocio usando Software libre
 
17 Continuidad De Negocio Neurowork Why Floss
17 Continuidad De Negocio Neurowork Why Floss17 Continuidad De Negocio Neurowork Why Floss
17 Continuidad De Negocio Neurowork Why Floss
 
Metodo evita
Metodo evitaMetodo evita
Metodo evita
 
2 método evita
2 método evita2 método evita
2 método evita
 
Es common-errors
Es common-errorsEs common-errors
Es common-errors
 
Relaciones públicas y manejo de crisis
Relaciones públicas y manejo de crisisRelaciones públicas y manejo de crisis
Relaciones públicas y manejo de crisis
 
Entre Creer Que Se Sabe Y Saber De Verdad
Entre Creer Que Se Sabe Y Saber De VerdadEntre Creer Que Se Sabe Y Saber De Verdad
Entre Creer Que Se Sabe Y Saber De Verdad
 
Investigacion efectiva de incidente
Investigacion efectiva de incidente Investigacion efectiva de incidente
Investigacion efectiva de incidente
 
Plan de continuidad de negocio
Plan de continuidad de negocioPlan de continuidad de negocio
Plan de continuidad de negocio
 
16-Unidad 4: Manejo de archivos y seguimiento del proyecto
16-Unidad 4: Manejo de archivos y seguimiento del proyecto16-Unidad 4: Manejo de archivos y seguimiento del proyecto
16-Unidad 4: Manejo de archivos y seguimiento del proyecto
 
ciclovida.pdf
ciclovida.pdfciclovida.pdf
ciclovida.pdf
 
Ernesto planescontingencia
Ernesto planescontingenciaErnesto planescontingencia
Ernesto planescontingencia
 
Ciclovida
CiclovidaCiclovida
Ciclovida
 
Ciclovida sistemas
Ciclovida sistemasCiclovida sistemas
Ciclovida sistemas
 
Ciclovida
CiclovidaCiclovida
Ciclovida
 
Ciclovida
CiclovidaCiclovida
Ciclovida
 
Ciclo de vida de un sistema
Ciclo de vida de un sistemaCiclo de vida de un sistema
Ciclo de vida de un sistema
 
Metodologias de investigacion Ingenieria de software
Metodologias de investigacion Ingenieria de software Metodologias de investigacion Ingenieria de software
Metodologias de investigacion Ingenieria de software
 
Ciclovida
CiclovidaCiclovida
Ciclovida
 
Planes contingencia
Planes contingenciaPlanes contingencia
Planes contingencia
 

Más de S2 Grupo · Security Art Work

Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlasIntroducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlasS2 Grupo · Security Art Work
 

Más de S2 Grupo · Security Art Work (10)

LINE. Android e iOS - Presentación Ciberseg15
LINE. Android e iOS - Presentación Ciberseg15LINE. Android e iOS - Presentación Ciberseg15
LINE. Android e iOS - Presentación Ciberseg15
 
Hardening murcia lan party 2013
Hardening murcia lan party 2013Hardening murcia lan party 2013
Hardening murcia lan party 2013
 
Facebook to whatsapp
Facebook to whatsappFacebook to whatsapp
Facebook to whatsapp
 
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlasIntroducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
 
Protección de Infraestructuras Críticas
Protección de Infraestructuras CríticasProtección de Infraestructuras Críticas
Protección de Infraestructuras Críticas
 
Facebook to whatsapp
Facebook to whatsappFacebook to whatsapp
Facebook to whatsapp
 
Seguridad dentro y fuera de la Nube
Seguridad dentro y fuera de la NubeSeguridad dentro y fuera de la Nube
Seguridad dentro y fuera de la Nube
 
Gestión de Incidencias
Gestión de IncidenciasGestión de Incidencias
Gestión de Incidencias
 
El nuevo director de seguridad
El nuevo director de seguridadEl nuevo director de seguridad
El nuevo director de seguridad
 
Convergencia de la Seguridad
Convergencia de la SeguridadConvergencia de la Seguridad
Convergencia de la Seguridad
 

Último

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxRogerPrieto3
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 

Último (15)

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Herramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptxHerramientas de corte de alta velocidad.pptx
Herramientas de corte de alta velocidad.pptx
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 

Continuidad de Negocio (UNE 71599 / BS 25999)

  • 1. Continuidad de Negocio UNE 71599 / BS 25999 Manuel Benet Consultor de Seguridad. S2 Grupo 12 de Mayo, 2011
  • 2. Prólogo Prólogo Existen varios caminos a la Continuidad de Negocio: a. El directo. b. El indirecto. c. El doloroso. 2
  • 3. Prólogo a. El directo o “momento revelación” “Hoy podría morir calcinado en este salón de actos. ¿Sobreviviría mi organización a tan trágica pérdida?“ I. No. Tienen (tenemos) un problema. II. Sí. ¿A qué coste? 3
  • 4. Prólogo b. El indirecto o “momento certificación ISO 27001” 4
  • 5. Prólogo c. El doloroso Suele llegar demasiado tarde y quizá no haya negocio que continuar. Puede conllevar no sólo pérdidas económicas sino también humanas. 5
  • 6. Prólogo Los tres caminos suelen compartir las mismas fases, aunque su duración es variable. 6
  • 7. Acto I “Eso no me puede pasar a mí” 7
  • 8. “Eso no me puede pasar a mí” 1. Polonia El 10 de abril de 2010 el avión Tupolev 154 en el que viajaba el presidente de Polonia, Lech Kaczynski, se estrelló en la ciudad rusa de Smolensk. Además del presidente y su esposa fallecieron el gobernador del Banco Central, el jefe de Estado Mayor, el viceministro de Exteriores y decenas de diputados. 8
  • 9. “Eso no me puede pasar a mí” 2. Edificio Windsor 9
  • 10. “Eso no me puede pasar a mí” 3. Fukushima 10
  • 11. Acto II “Quizá sí, pero es poco probable” 11
  • 12. “Quizá sí, pero es poco probable” Ejemplos más “mundanos” 1. Manolo, su excavadora y las líneas de datos. 2. Los grupos electrógenos: a veces funcionan, a veces no. 3. Esa afición por colocar tuberías en los CPDs. 4. La diversión de abrir adjuntos ejecutables. 5. ¿La clave del fichero de claves? Sólo la sabía Pepe. 6. ¿Copias? ¿Qué copias? 7. Los AACC se van de vacaciones en agosto. 12
  • 13. Acto III “De acuerdo, hagámoslo” 13
  • 15. “De acuerdo, hagámoslo” El camino fácil (que no el correcto) Una vez planteada la necesidad/obligatoriedad del proyecto, es habitual optar por un enfoque “simplificado” que... 15
  • 16. “De acuerdo, hagámoslo” … se limita a las copias de seguridad y poco más. … ignora la problemática asociada a las personas. … ignora las necesidades del negocio. … ignora las capacidades reales de TI. … no es mantenido regularmente. … no es probado en condiciones. … no incluye los planes operativos correspondientes. 16
  • 17. “De acuerdo, hagámoslo” Ese planteamiento, menos exhaustivo y costoso, puede ser parcialmente válido, pero debemos ser conscientes de sus limitaciones y de que no es un Sistema de Gestión de Continuidad de Negocio. Lo que fácil viene, fácil se va 17
  • 18. “De acuerdo, hagámoslo” El camino correcto (que no el fácil) 1. Implica un proceso de a) desarrollo, b) implantación, c) mantenimiento y d) posible certificación. 2. Requiere pruebas periódicas. 3. Necesita tiempo, recursos económicos y humanos. 4. Exige implicación de la Dirección. 5. Es un Sistema de Gestión. 6. Sigue un estándar probado: UNE 71599 / BS 25999. 18
  • 19. La Continuidad de Negocio según UNE 71599 / BS 25999 19
  • 20. UNE 71599 / BS 25999 La Continuidad de Negocio es un sistema de Gestión que identifica las amenazas que pueden poner en riesgo la continuidad de la organización y proporciona los medios para hacerles frente y proteger el negocio. 20
  • 21. UNE 71599 / BS 25999 Seis pasos básicos 1. Colocar los cimientos. 2. Entender la Organización. 3. Determinar la Estrategia de Continuidad de Negocio. 4. Desarrollar e implantar la Continuidad de Negocio. 5. Probar, mantener, revisar y auditar. 6. Asentar la Continuidad de Negocio en la cultura de la organización. 21
  • 22. UNE 71599 / BS 25999 Seis pasos básicos 22
  • 23. 1. Asegurar los cimientos 1. Colocar los cimientos • Definición del alcance • Asignar recursos. • Implicar a la Dirección y a la organización. • Asignar las responsabilidades. 23
  • 24. 1. Asegurar los cimientos Errores típicos • El alcance no está claramente definido. • Hay proyecto, pero no hay recursos. • No hay implicación (“es un proyecto de TI”). • ¿Responsabilidades? ¿Qué responsabilidades? (también conocido como “TI se lo guisa, TI se lo come.”) 24
  • 25. 2. Entender la organización 2. Entender la organización • El Análisis de Impacto sobre el Negocio. • El Análisis de Riesgos. 25
  • 26. 2. Entender la organización El Análisis de Impacto sobre el Negocio (AIN o BIA): I. Procesos del negocio. • Activos y personal implicado. • Dependencias (proveedores, servicios internos, etc.). • Periodos críticos. • Impactos. • Tiempo máximo de interrupción tolerable. • Niveles mínimos de calidad de servicio aceptables tras la recuperación del proceso. • Tiempo máximo para volver a la operación normalizada. 26
  • 27. 2. Entender la organización El Análisis de Riesgos: I. Amenazas. II. Impactos. III. Probabilidades. IV. Riesgos inherentes y residuales. V. Política de gestión de riesgos (aceptar / mitigar / transferir / eliminar). El resultado proporciona los riesgos no aceptables para las necesidades del negocio y los procesos más vulnerables a los riesgos detectados. 27
  • 28. 2. Entender la organización Errores comunes • Tener una visión demasiado “aérea”. • Obtener tiempos no “razonables”. • Omitir dependencias internas. • Omitir personal crítico. • Basarse únicamente en la visión de TI. • No consensuar/contrastar los resultados obtenidos con el resto de la organización. 28
  • 29. 3. La estrategia 3. La estrategia Para cada potencial incidente, deben desarrollarse alternativas a adoptar en cada uno de los aspectos controlables. Recursos necesarios para cada alternativa propuesta. 29
  • 30. 3. La estrategia Posibles alternativas y factores • Personal. Necesidades de formación, externalización, gestión del conocimiento… • Ubicaciones físicas. Alquiler, compra, teletrabajo… • Tecnología. Sedes alternativas, replicación, acceso remoto, virtualización, copias de seguridad,… • Información. Ubicación digital, papel, datos de carácter personal, registros críticos,… • Suministros. Proveedores críticos y tiempos de respuesta, contratos de servicio, almacenes y proveedores alternativos… • Terceras partes. Aspectos legales (p.ej. LOPD, presentación de tributos), comunicación con clientes, partners,… 30
  • 31. 3. La estrategia Errores comunes • Las estrategias no están en línea con el risk appettite (o nivel de riesgo aceptable por la organización). • No tener en cuenta las actividades críticas. • No tener en cuenta los periodos críticos. • Proponer estrategias “a futuro” o irreales por coste o ejecución. No ser realista. • No tener el apoyo y visto bueno de Dirección. 31
  • 32. 4. Desarrollo e implantación 4. Desarrollo e Implantación Tomando como base la información del BIA, el AR y las estrategias seleccionadas, determina: • El plan de respuesta a incidentes (o Plan de Crisis). • Planes de gestión de incidentes. 32
  • 33. 4. Desarrollo e implantación El plan de respuesta a incidentes: • Gestiona el momento inicial de la incidencia. • Garantiza una respuesta rápida al incidente. • Simplifica la toma de decisiones. • Identifica al personal responsable de la gestión del incidente. • Especifica las condiciones de disparo de los planes específicos. Si algo puede salir mal, saldrá mal, y lo hará en el peor momento posible. 33
  • 34. 4. Desarrollo e implantación Los planes de gestión de incidentes: • Documentos que permiten la recuperación de las diferentes actividades afectadas por un incidente. • Identifican al personal responsable del plan. • Contienen los recursos necesarios afectados por el plan (personal, locales, tecnología, información, suministros y terceras partes). • Contienen los procedimientos de toma de decisiones (quién, cómo, y a quién informar). • Identifican procedimientos operativos concretos. 34
  • 35. 4. Desarrollo e implantación Errores comunes • La documentación está obsoleta. • La documentación está ilocalizable. • ¿Documentación? ¿Qué documentación? • Las responsabilidades no están definidas. • No se contemplan dependencias. • El escalado de incidencias no está claramente definido. • No existen planes operativos. 35
  • 36. 5. Pruebas 5. Pruebas • Verificar que el sistema “no olvida nada”. • Comprobar que TI puede soportar al negocio. • Anticipar problemas concretos en situaciones controladas. • Mejorar la capacidad de la organización para enfrentarse a situaciones de crisis. • Propagar la cultura de la continuidad de negocio entre los participantes. • Generar confianza entre los participantes de las pruebas. 36
  • 37. 5. Pruebas Errores comunes • No se realizan pruebas. • Las pruebas olvidan al usuario final u omiten personal relevante. • Las pruebas no son comunicadas a la organización. • Las pruebas no son realistas. • El resultado de las pruebas se “maquilla”. • El resultado de las pruebas no tiene continuidad (¿planes de acción?). 37
  • 38. 6. Cultura de la organización 6. Cultura de la organización Como todo Sistema de Gestión, debe desarrollarse un programa de concienciación que: • Mejore la eficacia del sistema. • Prepare al personal implicado. • Difunda entre clientes y proveedores las ventajas del sistema implantado. • Mejore la receptividad de la organización hacia las pruebas. 38
  • 39. 6. Cultura de la organización Algunas medidas • Utilización de los medios internos: Intranet, e- mail, circulares internas. • Sesiones de formación entre el personal. • Encuestas y grupos de trabajo. • Incluir la Continuidad de Negocio en las reuniones de los departamentos. 39
  • 40. 6. Cultura de la organización Errores comunes • No desarrollar un programa de concienciación. • Incluir en el programa únicamente a personal técnico. • Tener un programa demasiado disperso en el tiempo. 40
  • 41. Conclusiones Un Sistema de Gestión de la Continuidad de Negocio es como una rueda de repuesto: Se ve poco, no se usa, pero hay que revisarla de vez en cuando. Ojalá no tengamos que utilizarla nunca, pero… …mejor que esté ahí, por si acaso. 41
  • 42. Conclusiones Principales problemas • No tener el apoyo de Dirección. • No dedicar recursos, tiempo y personal asignado. • Olvidar las necesidades del negocio. • No desarrollar o mantener la documentación. • Obviar las pruebas y la comunicación a usuarios. 42
  • 43. Conclusiones Primero llegó ISO 9001. Luego vino ISO 27001. La Continuidad de Negocio es el próximo hito. 43
  • 44. 44